JPCERT コーディネーションセンター

Weekly Report 2023-02-01号

JPCERT-WR-2023-0201
JPCERT/CC
2023-02-01

<<< JPCERT/CC WEEKLY REPORT 2023-02-01 >>>

■01/22(日)〜01/28(土) のセキュリティ関連情報

目 次

【1】複数のApple製品に脆弱性

【2】VMware vRealize Log Insightに複数の脆弱性

【3】ISC BIND 9に複数の脆弱性

【4】Google Chromeに複数の脆弱性

【5】pgAdmin 4にディレクトリトラバーサルの脆弱性

【6】EasyMailにクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】IPAが「情報セキュリティ10大脅威 2023」を公開

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2023/wr230201.txt
https://www.jpcert.or.jp/wr/2023/wr230201.xml

【1】複数のApple製品に脆弱性

情報源

CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/24/apple-releases-security-updates-multiple-products

概要

複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
ドを実行するなどの可能性があります。

対象となる製品は次のとおりです。

- Safari 16.3より前のバージョン
- iOS 12.5.7より前の12系バージョン
- iOS 15.7.3より前の15系バージョン
- iOS 16.3より前の16系バージョン
- iPadOS 15.7.3より前の15系バージョン
- iPadOS 16.3より前の16系バージョン
- macOS Big Sur 11.7.3より前のバージョン
- macOS Monterey 12.6.3より前のバージョン
- macOS Ventura 13.2より前のバージョン
- watchOS 9.3より前のバージョン

この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
ることで解決します。詳細は、Appleが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2022年12月)
https://www.jpcert.or.jp/newsflash/2022121401.html

Apple
Safari 16.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213600

Apple
iOS 12.5.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213597

Apple
iOS 15.7.3 および iPadOS 15.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213598

Apple
iOS 16.3 および iPadOS 16.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213606

Apple
macOS Big Sur 11.7.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213603

Apple
macOS Monterey 12.6.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213604

Apple
macOS Ventura 13.2 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213605

Apple
watchOS 9.3 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213599

【2】VMware vRealize Log Insightに複数の脆弱性

情報源

CISA Current Activity
VMware Releases Security Updates for VMware vRealize Log Insight
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/25/vmware-releases-security-updates-vmware-vrealize-log-insight

概要

VMware vRealize Log Insightには、複数の脆弱性があります。結果として、
遠隔の第三者が、認証なしで任意のコードを実行するなどの可能性があります。

対象となる製品は次のとおりです。詳細はVMwareが提供する情報を参照してく
ださい。

- VMware vRealize Log Insight
- VMware Cloud Foundation (VMware vRealize Log Insight)

この問題は、該当する製品をVMwareが提供する修正済みのバージョンに更新す
るか、回避策を適用することで解決します。詳細は、VMwareが提供する情報を
参照してください。

関連文書 (英語)

VMware
VMSA-2023-0001
https://www.vmware.com/security/advisories/VMSA-2023-0001.html

【3】ISC BIND 9に複数の脆弱性

情報源

CISA Current Activity
ISC Releases Security Advisories for Multiple Versions of BIND 9
https://www.cisa.gov/uscert/ncas/current-activity/2023/01/27/isc-releases-security-advisories-multiple-versions-bind-9

概要

ISC BIND 9には、複数の脆弱性があります。結果として、遠隔の第三者がnamed
を異常終了させるなどの可能性があります。

対象となるバージョンは脆弱性によって異なります。詳細は、開発者が提供す
る情報を参照してください。

この問題は、該当する製品をISCが提供する修正済みのバージョンに更新する
ことで解決します。詳細は、ISCが提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC CyberNewsFlash
ISC BIND 9における複数の脆弱性について(2023年1月)
https://www.jpcert.or.jp/newsflash/2023012601.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(メモリ不足の発生)について(CVE-2022-3094)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-dynamic-update.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3736)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-rrsig.html

日本レジストリサービス(JPRS)
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2022-3924)- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2023-01-26-bind9-vuln-serve-stale-softquota.html

Japan Vulnerability Notes JVNVU#98318144
ISC BINDにおける複数の脆弱性
https://jvn.jp/vu/JVNVU98318144

関連文書 (英語)

Internet Systems Consortium, Inc.(ISC)
CVE-2022-3094: An UPDATE message flood may cause named to exhaust all available memory
https://kb.isc.org/docs/cve-2022-3094

Internet Systems Consortium, Inc.(ISC)
CVE-2022-3488: BIND Supported Preview Edition named may terminate unexpectedly when processing ECS options in repeated responses to iterative queries
https://kb.isc.org/docs/cve-2022-3488

Internet Systems Consortium, Inc.(ISC)
CVE-2022-3736: named configured to answer from stale cache may terminate unexpectedly while processing RRSIG queries
https://kb.isc.org/docs/cve-2022-3736

Internet Systems Consortium, Inc.(ISC)
CVE-2022-3924: named configured to answer from stale cache may terminate unexpectedly at recursive-clients soft quota
https://kb.isc.org/docs/cve-2022-3924

【4】Google Chromeに複数の脆弱性

情報源

Google
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop_24.html

概要

Google Chromeには、複数の脆弱性があります。

対象となるバージョンは次のとおりです。

- Google Chrome 109.0.5414.119より前のバージョン

この問題は、Google ChromeをGoogleが提供する修正済みのバージョンに更新
することで解決します。詳細は、Googleが提供する情報を参照してください。

【5】pgAdmin 4にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#01398015
pgAdmin 4 におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN01398015/

概要

pgAdmin 4には、ディレクトリトラバーサルの脆弱性があります。結果として
当該製品のユーザーが、別のユーザーの設定を変更したり、データベースを書
き換えたりする可能性があります。

対象となるバージョンは次のとおりです。

- pgAdmin 4 v6.19より前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

pgAdmin
pgAdmin users who are authenticated can access each other's directories and files by providing relative paths #5734
https://github.com/pgadmin-org/pgadmin4/issues/5734

【6】EasyMailにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#05288621
EasyMail におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN05288621

概要

株式会社ファーストネットジャパンが提供するEasyMailには、クロスサイトス
クリプティングの脆弱性があります。結果として、当該製品を使用しているサ
イトにアクセスしたユーザーのウェブブラウザー上で、任意のスクリプトを実
行される可能性があります。

対象となるバージョンは次のとおりです。

- EasyMail 2.00.130およびそれ以前のバージョン

この問題は、該当製品を開発者が提供する修正済みのバージョンに更新するこ
とで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (日本語)

株式会社ファーストネットジャパン
ダウンロード | 無料のメールフォーム作成ツール「EasyMail(イージーメール) 」
https://www.mubag.com/download/

■今週のひとくちメモ

○IPAが「情報セキュリティ10大脅威 2023」を公開

2023年1月25日、IPAは「情報セキュリティ10大脅威 2023」を公開しました。
「情報セキュリティ10大脅威 2023」は、2022年に発生した社会的に影響が大
きかったと考えられる情報セキュリティにおける事案から「10大脅威選考会」
が脅威候補に対して審議・投票を行い、決定したものです。

参考文献 (日本語)

情報処理推進機構(IPA)
情報セキュリティ10大脅威 2023
https://www.ipa.go.jp/security/vuln/10threats2023.html

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter